Windows 7 Security Paulo Dias IT Pro Evangelist Microsoft Fernando Guillot IT Pro Evangelist Microsoft
Agenda UAC y los Usuarios normales Bitlocker y Bitlocker ToGo Applocker
UAC y los Usuarios Normales en Windows 7
El verdadero motivo de UAC El objetivo último: todos corriendo cómo usuario Normal ¿Porqué? Seguridad: Applicaciones vulnerables = máquina vulnerable TCO: Los usuarios no podrán romper sus máquinas tan fácilmente Manageability: Usuarios no podrán romper las políticas ¿Cómo llegamos allí? Sencillo: Reprograma todas tus aplicaciones para que funcionen con usuarios Normales
UAC cómo tecnología de Transición Cambiar miles de aplicaciones a la vez puede resultar bastante problemático UAC es una tecnología de transición Es una manera más suave de llegar a los usuarios normales Muchas de las aplicaciones que no funcionarían cómo un usuario normal seguirán funcionando con UAC
Tipos de usuarios en Vista y Win7 El Administrador: llamado Administrador Un Administrador: tu usuario con permisos de administrador Modo Aprobación: tu usuario con acceso fácil a los privilegios de Administradores Usuarios Normal: Usuario sin permisos de administrador Cuenta por defecto Mucho más seguro, pero menos conveniente, esto irá Mejorando en las siguientes versiones. Se tiende a que Este usuario sea el de por defecto
UAC en Windows 7 Similar al UAC de Vista Muchas interrupciónes al usuario elimindas, haciendo que todo el mundo las pueda hacer La configuarción de UAC son plenamente visibles en el panel de control En vista había que entrar en el Registro Demo
¿Porqué nos interrumpe UAC? Windows solía ejecutar todo con cuentas Administradoras por defecto Los programadores hacían lo que fuese para que sus procesos hiciensen el trabajo lo más rápido posible Algunas de estas cosas eran manipulación de privilegios de recursos, algunas veces incluso sin saberlo Esto es cierto para desarrolladores dentro de MS y aplicaciones de terceros.
¿Porqué Interrumpir? Lo que puede hacer un Admin Lo que puede hacer Un Usuario normal Cosas que un usuario Normal necesita hacer Elevaciones de UAC Esto permite al usuario Realizar operaciones Elevadas cuando Lo necesite Mientras, nos interrumpen para indicar que estas son operaciones no queremos que se ejecuten sin nuestro consentimiento
¿Qué son estas elevaciones? Algunas son necesarios Instalar o desinstalar software Cambiar configuración del Firewall Cambiar la hora del sistema Algunas no son necesarias Uso incorrecto y innecesario de ramas de registro Cambio de huso horario Ver sin modificar configuraciones del sistema
Mitos de UAC Todo el mundo deshabilita UAC Windows interrumpe demasiado Cuanto hay de mito? Cuanto de Realidad?
¿La mayoría de los Usuarios deshabilita UAC? UAC está habilitado para el 88% de los usuarios Si tu estrategia de desarrollo es esperar a que UAC desaparezca tal vez sea hora de reconsiderar Si tu estrategia de desarrollo es esperar a que UAC desaparezca tal vez sea hora de reconsiderar
¿Cuanto Interrumpe UAC? Medir las Interrupciones por sesión Sesión: Empieza con el logon del usuarios Acaba con el logoff del usuario o a las 24horas La media de sesión es de 8.2 horas
Interrupciones por sesión en RTM, SP1, Consumer y Enterprise
Mejora de las aplicaciones en el tiempo
Más información Windows 7 Blog General Especifico de UAC user-account-control.aspx user-account-control.aspx user-account-control.aspx
Protegiendo tu entorno en Windows 7 con Bitlocker y Bitlocker to Go
¿Qué vamos a cubrir? Capacidades de BitLocker Encrypt FAT data volumes and removable storage devices Recuperación de datos encryptados
BitLocker + Extiende la encriptación de los discos duros a los dispositivos externos Creación de políticas de grupo para obligar al uso de encriptación y bloqueo de dispositivos no encriptados Simplificar la instalación y configuración de la encriptación en el disco primario
Nuevas funcionalidades de BitLocker BitLocker Mejora en la Instalación Partición de 200Mb Oculta Nuevo protector de Llaves BitLocker To Go Soporte para FAT Protectores: DRA, passphrase, smart card and/or auto-unlock Nuevas GPOs para mejorar la gestión en organizaciones Disponibilidad por Edición Lector de Bitlocker To Go (para versiones anteriores)
Trusted Platform Module (TPM) TPM Version 1.2 o superior TPM Version 1.2 o superior USB System boot from USB 1.x and 2.x USB read/write in pre-operating system environment USB System boot from USB 1.x and 2.x USB read/write in pre-operating system environment BIOS TCG BIOS Specification Physical presence interface Memory overwrite on reset Immutable CRTM or secure update BIOS TCG BIOS Specification Physical presence interface Memory overwrite on reset Immutable CRTM or secure update Hard Disk Requires at least two partitions Separate partitions for System and OS Hard Disk Requires at least two partitions Separate partitions for System and OS
DEMO Encryptar un dispositivo en formateado con FAT Configurar Bitlocker to Go por políticas
Disk Layout and Key Storage Volumen del S.O. Contiene encriptado El Sistema Operativo El fichero de Paginación Ficheros temporales Datos Fichero de Hibernación Sistema Volumen del Sistema Operativo ¿Donde está la Clave de Encriptación? 1.SRK (Storage Root Key) en el TPM 2.SRK encripta el VMK (Volume Master Key) 3.VMK encripta el FVEK (Full Volume Encryption Key) – usado para los datos actuales de encriptación 4.FVEK y VMK se almacenan encriptados en el volumen del Sistema Operativo
BitLocker on Removable Drives Tipo de Dispositivo Removable data drives USB flash drives External hard drives Metodos de desbloqueo Passphrase Smart card Automatic unlocking Metodos de Recuperación Recovery password Recovery key Active Directory backup of recovery password Data Recovery Agent Gestión Robust and consistent group policy controls Ability to mandate encryption prior to granting write access Systema de Ficheros NTFS FAT FAT32 ExFAT
Gestionando BitLocker en dispositivos Externos
Escenarios de recuperación Pérdida u Olvido de códigosActualización de los ficheros raizHardware estropeadoAtaque deliberado
Metodos de recuperación Develop StrategyActive DirectoryData Recovery AgentsWindows Recovery Environment
DEMO Recuperar un dispositivo FAT32 Gestionar y desencriptar un disco protegido con Bitlocker
Resumen Capacidades de Bitlocker Encriptación de discos con BitLocker y Bitlocker To Go Data Recovery Agent (DRA)
AppLocker en Windows 7
Problemática con Applicaciones Aumento en el coste de soporte debido a Applicaciones/Versiones no soportadas Entornos no estandarizados Problemas de licenciamiento de software Applicaciones no lincenciadas End user license agreements (EULA) Problemas de hurto digital MalwareTroyanos Ingeniería social
Formas de protección Formas tradicionales Uso de Usuarios Normales, autenticación fuerte, … Anti-virus, firewall, IDS, … Control de acceso a datos por políticas Access Control Policies (ACLs) DRM, encriptación, … Sin embargo… Cualquier software que esté ejecutandose por un usuario tiene los mismos permisos a los datos que el propio usuario
Software Restriction Policies (SRP) Los administradores controlan la execución en los entornos Bloquear/Denegar un listado de aplicaciones no autorizadas Posible pero poco efectivo Permitir un listado de Software válido Aplicaciones, librerías, scripts, e instalaciones que permitiremos ejecutarse Software no conocido se bloqueará por defecto
SRP en Windows Se introdujo en XP y en Windows 2003 Gestionado de manera centralizada por políticas 4 tipos de reglas Hash, Certificate, Path y Zona Sin embargo… Gestion díficil Los Hashes de las reglas de Hash no sobreviven a aplicaciones actualizadas Las reglas de certificados no utilizaban información del publicador Difícil de probar en real Implementado en modo Usuario, hacía que fuese mucho menos efectivo
AppLocker en Windows 7 Mejora la gestión Mejora experiencia de usuario Generación de reglas automáticas Soporte para Auditorías de políticas Soporte para PowerShell Implementado en modo Kernel
Mejora de la Gestión Nueva experiencia de Usuario
Mejora de la Gestión Autogeneración de Reglas Microsoft Confidential
Mejora de la Gestión Reglas de Publicación Microsoft Confidential
Mejora de la Gestión PowerShell Escenario: Después de auditar una política durnate 2 semanas, queremos analizar los logs para ajustar la política. De esta manera podremos estar seguros a la hora de forzar la política en nuestra organización Set- AppLocker Policy Test- AppLocker Policy New- AppLocker Policy Get-AppLocker FileInformation Descarga y análisis de Logs Crear una nueva política de prueba Ver que ficheros correrán Aplicar la política
Mejora de la Gestión Implementación simplificada con el modo Audit-Only Excepciones Condiciones de Usuarios dentro de Reglas Mensajes de Error personalizados
Architectural Overview Process 1 Appid.sysAppid.sys AppIDAppID SRP Kernel AppID/SRP Service SRP UM ntoskrnlntoskrnl Process 2 ntdllntdll Process 3
Digital Assets scenario with AppLocker
© 2009 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.